1. 정보화 사회의 정보보호

(1) 정보사회의 특성과 정보화 역기능

  • 정보사회의 특성 : 전자 상거래, 재택근무 증가, 정보전쟁 ( 자동화된 지휘통제시스템 & 사이버 전쟁)
  • 사이버 환경 특징 : 비대면성, 익명성, 시공간 무제한성, 무제한적인 정보
  • 정보화 역기능 : 중요정보의 노출, 프라이버시 침해, 불법적인 위변조, 정보시스템 파괴에 의한 사회마비 

(2)정보보호

1)정의

  • 정보의 훼손, 변호, 유출 등을 방지하기 위한 관리적, 기술적 수단 
  • 기밀성, 무결성, 가용성, 인증성 을 보장하기 위해 기술적, 물리적, 관리적 보호대책을 강구하는 것

2) 정보의 가용성과 안정성

  • 사용 가능한 정보 자원을 쉽게 이용하면서 동시에 위협 최소화 ( 균형점 찾기)

3) 정보보호의 목표

  • 기밀성(Confidentiality) 
    • 인가되지 않은 정보의 공개 금지.
    • 기밀성 보장하는 보안 기술 : 접근제어, 암호화
  • 무결성(Integrity)
    • 정보의 정확성 일정하게 유지, 허가 없는 변경 금지
    • 무결성 보장하는 보안 기술 : 접근제어, 메시지 인증 , 침입 탐지, 백업
  • 가용성(Availability)
    • 사용자에게 정보 서비스 거부해서는 안됨, 적시에 적절하게 사용할 수 있도록 보장
    • 가용성 보장하는 보안 기술: 데이터 백업, 중복성의 유지, 물리적 위협으로부터 보호
  • 인증성(Authenticity, Authentication)
    • 신뢰할 만한 출처에서부터 온 것인지 확인
  • 책임추적성(Accountability)
    • 추적해서 찾아낼 수 있어야 함.
    • 부인 봉쇄, 억제, 결함 분리, 침입 탐지 예방, 사후 복구

2. 정보보호 관리

(1) 정보보호 관리와 정보보호 대책

  • 정보보호 관리 :  기술적 , 물리적, 관리적 보호대책 
  • 기술적 보호 대책 : 정보를 보호하기 위한 가장 기본적인 대책, 소프트웨어를 이용한 보안 기술 (기술 기반)
  • 물리적 보호 대책 : 자연재해로부터 정보처리시설 보호하는 위함. ex) 출입 통제
  • 관리적 보호 대책 : 보안 계획 수립, 보안 감사 시행, 보안 설계, 내부자 교육 등  (이론 기반)

3. OSI 보안 구조

(1)개요 

1. 핵심 개념

  • 보안 공격 : 안정성을 침해하는 행위.
  • 보안 메커니즘 : 보안 공격을 탐지/예방/침해 복구 
  • 보안 서비스 : 보안을 강화하기 위한 통신 서비스 및 처리 절차 , 보안 메커니즘을 이용해 제공

2. 보안 공격

기밀성 관련 공격 (소극적) 무결성 관련 공격 (적극적) 가용성 관련 공격 (적극적)
Snooping  (가로채기) Modification (변경) DOS
Traffic analysis (트래픽 분석) Masquerading(가장)  
  Replaying(재전송)  
  Repudiation(부인)  
  • Snooping : 비인가 접근, 탈취, 가로채기 공격 -> 암호화로 방지
  • 트래픽 분석 : 도청자가 온라인 트래픽 분석
  • 변경 : 인가되지 않는 효과를 노리는 행위, 메시지 수정
  • 가장 :  사칭
  • 재전송 : 보관하고 있다가 시간 경과 후에 인가되지 않는 사항에 접근하는 효과를 노리는 행위
  • 부인 : 전송했거나 수신한 사실 자체를 부인

3. 소극적 공격 과 적극적 공격

  • 소극적 공격 : 목표=정보 획득, 해는 끼치지만 영향은 끼치지 않는다.   탐지 < 예방
  • 적극적 공격 :해를 끼치고, 영향도 끼친다. 탐지 > 예방

4. 보안 용어

(1) 자산 : 보호해야 할 대상 = 데이터, 자산 소유자

(2) 취약점 :  공격자에게 열린 문을 제공하는 약점

(3) 위협  - 4가지

  • 가로 채기 : 접근 획득 (불법 복사, 도청) -> 기밀성에 영향
  • 가로 막음 : 자산 손실, 사용 불가 ( 파괴, 파일 삭제, 서비스 거부) -> 가용성에 영향
  • 변조 : 내용 변경 ( 특정값 변경, 프로그램 변경) -> 무결성에 영향
  • 위조 : 위조 정보 생성 ( 가짜 정보 생성) -> 무결성, 인증성에 영향
  • 인간에 의한 위협
    • 의도적 - 인간의 실수
    • 비의도적 - 도청, 신분위장, 불법 접근

(4) 위험 : 취약점을 이용해 악영향 가능성 ( 자산 X 위협 X 취약점)

(5) 다계층 보안 / 심층 방어 : 보호 탐지 대응으로 이루어진 보안 접근법

(6) 시점별 통제

  • 예방통제 :  사전에 위협과 취약점 통제
  • 탐지통제 : 위협 탐지하는 통제
  • 교정통제 : 이미 탐지된 위협을 감소시키는 통제

 

저작자표시

'자격증 > 정보보안기사' 카테고리의 다른 글

2022년도 정기검정 4회차 정보보안기사 필기 CBT 후기 ⭐️  (1) 2022.11.11
[Sec. 4] 비대칭키 암호  (0) 2022.03.05
[Sec.3] 대칭키 암호  (0) 2022.03.04
[Sec. 2] 암호학  (0) 2022.03.01
네트워크 보안  (0) 2021.07.25

+ Recent posts

티스토리툴바